Корпоративные межсетевые экраны

Межетевые экраны должны быть сконфигурированы так, чтобы разрешать доступ только к необходимым услугам, как того требует бизнес. Надо провести тщательную проверку, чтобы убедиться, что ни к каким услугам нет доступа, кроме как по бизнес‑необходимости. Вдобавок стоит использовать «межсетевой экран с проверкой состояния». (Этот тип межсетевого экрана обеспечивает более высокий уровень безопасности, отслеживая перемещение всех пакетов за определенный период времени. Входящие пакеты пропускаются только в ответ на исходящее соединение. Другими словами, межсетевой экран открывает свои ворота только для определенных портов на основе исходящего трафика). Кроме того, имеет смысл установить набор правил для управления исходящими сетевыми соединениями. Системный администратор должен периодически проверять конфигурацию межсетевого экрана и все записи о его активности, чтобы убедиться, что никто не сделал в нем неавторизованных изменений. Если хакер взламывает межсетевой экран, то он, скорее всего, сделает в нем незначительные перемены для своей выгоды.

Имеет смысл организовать и управление доступом к VPN на основе IP‑адреса пользователя. Это применимо там, где лишь ограниченное число пользователей может соединяться с корпоративной сетью через VPN. В дополнение к этому можно ввести более безопасную форму VPN‑авторизации, такую, как смарт‑карты или специальные сертификаты вместо каких‑то локальных секретов.